Vorsicht bei Widget-Downloads mit Apples Safari
Bei Mac OS X 10.4 alias Tiger hat Apple bei der Konfiguration seines Web-Browsers Safari Komfort über Sicherheit gestellt. Die in Tiger standardmäßig aktivierte Option "'Sichere' Dateien nach dem Laden öffnen" erleichtert es unter Umständen Angreifern, unbemerkt Software auf einem Mac zu installieren. Schon vor einem Jahr hatte diese Option Safari unter Mac OS X 10.3 eine Sicherheitslücke beschert. Anzeige
Unter Tiger ist es nun das Zusammenspiel mit dem neuen Dashboard, das zumindest ein ungutes Gefühl hervorruft. Im Dashboard lassen sich kleine Hilfsprogramme platzieren, Widgets genannt, die in vielen Situationen den Einsatz einer ausgewachsenen Anwendung überflüssig machen sollen.
Apple wollte es den Anwendern von Mac OS X 10.4 bei der Installation von Widgets für das neue Dashboard besonders einfach machen. Deshalb installiert Apples Web-Browser Safari in den Werkseinstellungen Widgets nach dem Download ohne Nachfrage im Verzeichnis /Library/Widgets im Home-Verzeichnis des angemeldeten Benutzers. Das heruntergeladene Zip-Archiv landet danach automatisch im Papierkorb. Startet eine Web-Seite den Download von sich aus, ohne dass der Surfer erst einen Link anklicken muss, bekommt er unter Umständen nichts davon mit. Im Download-Verzeichnis befindet sich schließlich keine neue Datei mehr, lediglich der Download-Manager von Safari weist den Vorgang aus.
Das ist unschön, stellt aber noch keine Sicherheitslücke dar. Das installierte Widget befindet sich nämlich nur im Widget-Vorrat und das System startet es erst dann, wenn es der Anwender explizit auf dem Dashboard platziert hat. Der dafür zuständige Prozess "DashboardClient" arbeitet mit den Rechten des angemeldeten Benutzers, ein böses Widget könnte deshalb nur begrenzt Schaden anrichten.
Dennoch: Neugierige Anwender mit ausgeprägtem Ausprobiertrieb wollen möglicherweise schnell eine Antwort auf die Frage "Huch, was ist denn das?" bekommen und probieren deshalb auch unbemerkt installierte Widgets aus -- aus Quellen, denen sie sonst nie vertrauen würden.
Wer die automatische Installation von Widgets verhindern möchte, schaltet in den Safari-Einstellungen im Bereich "Allgemein" einfach die die Option "'Sichere' Dateien nach dem Laden öffnen" ab. Dann öffnet Safari allerdings auch keine PDFs, Bildern und Sounds mehr automatisch, sondern lädt sie nur noch herunter.